Malware para DDoS encontrado em screensaver para GNOME

Um malware foi encontrado no tema Ninja Black para GNOME, podendo afetar vários usuários de distribuições GNU/Linux baseada no Debian (ex: Ubuntu). O pacote para instalação já foi removido do popular site Gnome-Look. O arquivo .deb infectado deveria ser somente um screensaver de uma cachoeira, mas quando executado, o mesmo instalava alguns scripts com privilégios elevados ao invés do screensaver como esperado. O script foi desenvolvido para atualizar-se automaticamente e usar potencialmente as máquinas infectadas como parte de ataques DDoS. Esse incidente mostra que mesmo em sistemas Linux, o usuário deve ter cuidado com pacotes de fontes desconhecidas. Use os comandos abaixo para remoção do tema:
$ sudo rm -f /usr/bin/Auto.bash /usr/bin/run.bash /etc/profile.d/gnome.sh index.php run.bash
$ sudo dpkg -r app5552
Mais informações podem ser encontradas no Ubuntu Forums.

WPA Cracker

O pesquisador Moxie Marlinspike lançou um serviço para verificação de senhas WPA-PSK. O WPA Cracker é um serviço baseado em cloud computing, que permite ao usuário ter acesso a um cluster com 400 CPUs e rodar um ataque com um dicionário especificamente criado para senhas WPA com 135 milhões de palavras. Rodando em um computador dual-core, esse processo levaria em torno de 5 dias. Usando o cluster com 400 CPUs, leva aproximadamente 20 minutos, com um custo de USD 17.

Google lança DNS público

A Google anunciou ontem o serviço de DNS público da companhia. Segundo a empresa, esse serviço trás melhorias significantes na velocidade, segurança e validação na resolução de nomes. O DNS primário é o 8.8.8.8 e o secundário é o 8.8.4.4. Maiores informações para configuração em Windows, Linux e MacOS podem ser encontradas aqui.

Dell reembolsa usuário que não quiz usar Windows

Graeme Cobbet foi reembolsado em USD 115 pela Dell após a compra de um notebook Studio 1555 com Windows Vista pré-instalado incluindo free upgrade para o Windows 7. Ele rejeitou a licença EULA (End User Licensing Agreement) que declara:
"By using the software, you accept these terms. If you do not accept them, do not use the software. Instead, return it to the retailer for a refund or credit. If you cannot obtain a refund there, contact Microsoft or the Microsoft affiliate serving your country for information about Microsoft's refund policies."
Ao invés de aceitar os termos da licença, ele instalou a distribuição Linux Mint. Ele levou cerca de 2 meses e trocou 14 emails com a Dell para conseguir o reembolso.

Quebrando a criptografia A5/1 do GSM

O algoritmo A5/1 é usado para criptografar voz e sinalização na rede GSM. Ele é aplicado tanto no terminal com na BTS (Base Transceiver Station). A idéia de quebrar o A5/1 não é nova, e o processo já é conhecido entre agências de inteligência e no mundo acadêmico. Porém ainda não existe um exploit público para o A5/1, mas isso vai mudar dentro de alguns meses, pelo menos segundo o pesquisador Karsten Nohl. Ele fez uma apresentação no Hacking at Random (HAR) 2009. A idéia é gerar uma tabela usando placas de vídeo que suportam CUDA ou Xilinx Virtex FPGAs. O tempo estimado para geração usando uma CPU executando uma thread é aproximadamente 100.000 anos. Com paralelização em centenas ou milhares de threads com CUDA ou FPGA o tempo cai para aproximadamente 3 meses. A apresentação e o vídeo trazem mais detalhes da idéia.

Fórum hacker foi hackeado

Um daqueles fórums "underground" chamado Pakbugs onde pessoas discutem técnicas de hacking e vendem códigos de malware, login de bancos e números de cartão de crédito foi hackeado. É até engraçado, mas a concorrência está forte!

Falha crítica encontrada no SMB2 do Windows

Uma falha crítica foi descoberta pelo pesquisador Laurent Gaffié no componente SMB2 (Server Message Block versão 2) do Windows Vista, Windows Server 2008 e Windows 7 (exceto 2008 R2 e 7 RTM). Fiz um teste do script Python contra uma máquina com Windows Vista Business e realmente aquela tela "azul da morte" surgiu e o computador reiniciou. O problema tinha sido avisado para a Microsoft pelo pesquisador, mas até agora nenhum patch foi liberado. A próprio Microsoft publicou um Security Advisory sobre o problema. A recomendação enquanto o patch não é liberado é desabilitar o SMB versão 2 ou bloquear o tráfego nas portas TCP 139 e 445 usadas pelo serviço. O site Reverse Mode mostra maiores detalhes do problema e a provável execução de código através da exploração da vulnerabilidade.

.

Usando Linux para verificar vírus de Windows

Podemos usar o GNU/Linux para verificação de vírus em partições Windows (FAT16, FAT32, NTFS), HDs externo e pendrives. Mas qual a vantagem? Vírus de Windows não faz mal ao Linux, e portanto podemos utilizá-lo com segurança.
O ClamAV é uma solução anti-vírus open source (GPL). Para instalá-lo em sistemas baseados no Debian/Ubuntu, podemos usar:
# apt-get install clamav

Em sistemas baseados no Red Hat/Fedora:
# yum install clamav

Para atualização das definições de vírus:
# freshclam

Para rodar o ClamAV:
$ clamscan --bell -r --log=/home/user/virus_log -i /media/DATA/

Onde:
--bell: emite um beep cada vez que um vírus é detectado
-r: busca recursivamente
--log=/home/user/virus_log: gera um arquivo de log (virus_log) no /home/user
-i /media/DATA: verifica o sistema de arquivos montado em /media/DATA (altere conforme local a ser escaneado).

Extraindo áudio MP3 de DVD

Imagine você escutando seus shows em DVD no MP3 player. Com algumas ferramentas open source é possível extrair faixas de áudio do DVD e convertê-las para MP3. Escrevi um script para facilitar esse processo. Para rodá-lo você precisa do transcode, lsdvd, lame e mp3gain.
No caso de distribuições baseadas no Debian, instale-os com:
sudo apt-get install -y transcode lsdvd lame mp3gain

Abra um editor de texto e cole o conteúdo do script abaixo:

#!/bin/bash
# Shell script para extrair MP3 (320 Kbps) de DVD com ajuste automático de nível (92 dB)
# Autor: Alexsander Loula - 31/08/2009
# Versão 0.1
SEPARADOR=_
EXTENSAO=.mp3
echo "=========>"
/usr/bin/lsdvd
echo "=========>"
echo "Prefixo Arquivo MP3:"
read PREFIXO
echo "Título Principal do DVD:"
read PRINCIPAL
echo "Trilha de Áudio:"
read TRILHA
echo "Quantidade de capítulos :"
read CAPITULOS
for (( i = 1; i <= $CAPITULOS; i++ ))
do
     echo "=========>"
     echo "Extraindo capítulo: $i de $CAPITULOS..."
     echo "=========>"
     ARQUIVO=$PREFIXO$SEPARADOR$i$EXTENSAO
     # Extrai o áudio do DVD e converte para MP3 em 320 Kbps
     /usr/bin/transcode -i /media/cdrom0 -x dvd -T $PRINCIPAL,$i,1 -b 320,0,5,0 -a $TRILHA -y raw -m $ARQUIVO
     # Ajusta nível do MP3 para 92 dB
     /usr/bin/mp3gain -r -c -q -k -d 3.0 $ARQUIVO
done
echo "=========>"
echo "Pronto!!!"


Salve o arquivo como "dvd2mp3". Torne-o executável:
sudo chmod +x dvd2mp3

Coloque um DVD (ex: Rainbow - Live in Munich 1977) e execute o script:
./dvd2mp3
=========>
libdvdread: Using libdvdcss version 1.2.10 for DVD access
Disc Title: RAINBOW
Title: 01, Length: 01:53:00.043 Chapters: 11, Cells: 12, Audio streams: 03, Subpictures: 03
Title: 02, Length: 00:05:12.200 Chapters: 02, Cells: 02, Audio streams: 01, Subpictures: 03
...
Longest track: 01
=========>
Prefixo Arquivo MP3:
Rainbow -> Digite o prefixo do arquivo
Título Principal do DVD:
01 -> Digite o título principal do DVD (Vide acima: Longest track)
Trilha de Áudio:
01 -> Digite a trilha de áudio (Vide acima: Audio streams)
Quantidade de capítulos :
11 -> Digite a quantidade de capítulos (Vide acima: Chapters)

No exemplo acima serão gerados os arquivos Rainbow_1.mp3, Rainbow_2.mp3, ...
O script gera arquivos MP3 de 320 Kbps. Para alterar, mude o parâmetro "-b" do transcode. O script também normaliza o ganho de aúdio dos arquivos para 92 dB. Para mudar esse nível, veja o post sobre o mp3gain.

Ajustando o nível de músicas MP3

Se você têm uma coleção de músicas em MP3, já deve ter percebido que o volume dos arquivos variam. Existe uma ferramenta chamada mp3gain que normaliza o ganho do áudio de arquivos MP3. Para usuários de distribuições baseadas no Debian, pode-se instalá-lo com:
# apt-get install mp3gain

Para ajuste de arquivos em lote, pode-se usar o script abaixo:
#!/bin/bash
/usr/bin/find . -type f -iname '*.mp3' -print0 | /usr/bin/xargs -0 mp3gain -r -k -d 3.0

A primeira parte do script procura todos os arquivos com extensão mp3 recursivamente dentro do diretório onde o mesmo está sendo executado. A segunda parte executa o mp3gain aplicando ganho automático (-r), diminuindo o ganho para não cortar o áudio (-k) e ajustando o nível para 92dB (-d 3.0). O último parâmetro ajusta o ganho em +3dB em relação ao padrão de 89dB do mp3gain (89dB + 3dB = 92dB). O nível de 92dB traz bons resultados.
Mais opções podem ser encontradas no manual do mp3gain ou aqui.

Relatório de desenvolvimento do Linux

A Linux Foundation liberou um relatório ontem mostrando que a Red Hat, IBM, Novell, Intel, Oracle e Fujitsu continuam como as maiores contribuidoras do kernel do Linux. Linus Torvalds continua entre os 30 maiores contribuidores individuais quando contabilizado somente mudanças no kernel. Outro dado interessante é que houve um aumento de 10% no número de desenvolvedores em relação ao relatório de 2008.

Dois métodos interessantes de keylogger

Dentre as várias apresentações do último Black Hat que aconteceu em Las Vegas, foi mostrado que é possível fazer keylogger usando osciloscópio e laser. Segundo pesquisas da Inverse Path, é possível descobrir as teclas que um usuário está digitando monitorando a corrente com um osciloscópio conectado na rede elétrica. O mesmo estudo mostra a possibilidade de monitoração usando conjunto de laser e fotoresistor/fotodiodo. Olhem que interessante!

45 dias com o Tomato

Postei dia 30 de Junho sobre o Tomato, um firmware alternativo para AP Wi-Fi. Realmente é o melhor que já testei. Uptime: 45 days, 23:00:39

Twitter e Facebook sofreram ataques DoS hoje

Esta manhã os sites do Twitter e Facebook ficaram praticamente indisponíveis. A causa para a lentidão foi atribuída a um ataque de negação de serviço (DoS).

Vulnerabilidades em teclado Apple

Os teclados da Apple estão vulneráveis a ações de keyloggers e malware. A vulnerabilidade foi descoberta por K. Chen e foi apresentada no Black Hat desse ano. Um teclado da Apple tem aproximadamente 8K de memória flash e 256 bytes de RAM (é isso mesmo!!!). O paper e os slides mostram os detalhes da descoberta.

Brecha de segurança em produtos Adobe

A vulnerabilidade que a Adobe já confirmou existir no Flash Player e produtos da linha Acrobat esta sendo explorada através de códigos maliciosos em páginas Web ou arquivos PDF contaminados. Postei anteriormente o comprometimento da Adobe com a liberação de patches. Parece que o plano ainda não entrou em ação!

Microsoft "doa" 20.000 linhas de código para kernel do Linux

Parece díficil de acreditar mas é verdade. A poderosa Microsoft liberou 20.000 linhas de código para utilização no kernel do Linux. Esse código (device drivers) melhora a performance do Linux rodando em máquinas virtuais com tecnologia Hyper-V da MS. Isso explica o movimento estratégico da MS para tentar ganhar mercado em virtualização. Essa notícia esta causando bastante barulho na comunidade open source. Qual será a primeira distribuição a incluir esses drivers no kernel? Boa pergunta!

Atualização do BlackBerry traz spyware

Uma atualização enviada aos usuários de BlackBerry na rede da Etisalat nos Emirados Árabes traz um spyware que permite interceptação de mensagens e email, bem como a diminuição da duração da bateria. Bem sinistro!

Nmap 5.0 released

Saiu no último dia 16 um major release do Nmap. O Nmap é uma ferramenta open source para exploração e auditoria de segurança desenvolvida pela Insecure.org. Com certeza é uma "must have" para qualquer profissional de segurança da informação.

Firmware alternativo para AP Wi-Fi

Existem várias alternativas de firmware para Access Point Wi-Fi. Testei o OpenWRT e o DD-WRT no meu Linksys WRT54GL. Ambos trazem várias funções extras em relação ao firmware original da Linksys, entre elas o DHCP Static Lease, acesso via SSH/Telnet e possibilidade de aumentar a potência do sinal do Wi-Fi. Após algum tempo usando sempre voltava para o firmware original por problemas de instabilidade. A semana passada encontrei outra opção com as mesmas funcionalidades do OpenWRT e DD-WRT chamada Tomato. Estou usando a versão 1.25, e pelo menos até agora estou gostando. Vamos ver!

Brecha do UAC no Windows 7

Foram liberados o código fonte e o vídeo demonstrando a exploração da vulnerabilidade de code-injection no UAC (User Account Control) do Windows 7. A exploração dessa vulnerabilidade pode permitir que pessoas ou programas maliciosos elevem seus previlégios em máquinas com Windows 7. Parece que a Microsoft não têm interesse de consertar esse problema.

UPnP Server com MediaTomb

O MediaTomb é um servidor UPnP de código aberto. Ele funciona muito bem como media server para o PS3. Fiz a instalação no Ubuntu 9.04 e com alguns ajustes funcionou com a minha coleção de fotos (jpg), músicas (mp3) e vídeo (mpg). Seguem abaixo os passos necessários para instalação e configuração:
- Instale o MediaTomb:
$ sudo apt-get install mediatomb

- Edite o arquivo de configuração '/etc/mediatomb/config.xml':
- Altere o protocolInfo extend de "no" para "yes":
< protocolInfo extend="yes" />

- Acrescente o mapeamento para vídeo mpeg na sessão mappings:
< map from="mpg" to="video/mpeg" />

- Na mesma sessão, descomente o mapeamento para avi/divx:
< map from="avi" to="video/divx" />

- Salve as alterações.
- Agora edite o arquivo '/etc/default/mediatomb':
- Deixe a linha NO_START="no"

- Acrescente na linha OPTIONS a porta onde o serviço irá rodar (ex: OPTIONS="-p 50500")

- Coloque a interface na linha INTERFACE (ex: INTERFACE="eth0")

- Altere o runlevel do serviço:
$ sudo update-rc.d -f mediatomb remove
$ sudo update-rc.d mediatomb defaults 95

- Reinicialize o serviço:
$ sudo /etc/init.d/mediatomb restart

- Acesse a interface através do browser: http://localhost:50500

- Acrescente os arquivos de media através do menu 'Filesystem' do MediaTomb.
- Verifique os arquivos adicionados no menu 'Database'.

Pronto, no PS3 deve ser mostrado o 'MediaTomb' como Media Server nos menus de áudio, vídeo e foto.

Fedora 11 lançado

A Red Hat anunciou o lançamento do Fedora 11. Segundo a Red Hat, essa versão inclui o que há de melhor atualmente na comunidade open source. Do release notes eu gostei principalmente do boot em 20s, gcc 4.4 e do ext4. Com certeza vou testar!

Unix um "quarentão"

Em 1969, Ken Thompson, um programador da AT&T subsidiária da Bell Laboratories, começava escrever a primeira versão do Unix em linguagem Assembly para um mini-computador PDP-7 da Digital Equipment Corp. (DEC). Ele e seu colega, Dennis Ritchie começaram a pensar em desenvolver um novo sistema operacional quando trabalhavam em um projeto na Bell chamado Multics (Multiplexed Information and Computing Service). A história completa está na Computer World.

Montando um rede GSM

Publiquei um artigo no Viva o Linux sobre o projeto OpenBTS. O objetivo principal desse projeto é a apresentação de uma interface aérea GSM para realização de chamadas usando o PBX Asterisk. Imagine você realizando chamadas entre telefones GSM ou qualquer outro dispositivo compatível com o Asterisk na sua própria rede GSM. Pode ser usado também como um excelente ponto de partida para aprender como o sistema GSM funciona.

Obama anuncia iniciativa para cybersecurity

A administração do governo Obama anunciou na última sexta-feira a criação de um escritório para gerenciar a estratégia de segurança do EUA para cyberspace. Parece até coisa de filme!

Linux Mint 7 "Gloria"

Foi liberada a versão 7 do Linux Mint no último dia 26. Ainda não tinha usado essa distribuição que é baseada no Ubuntu 9.04. Baixei a ISO e instalei no meu laptop. Reconheceu tudo, o boot é extremamente rápido e os temas são mais legais que os padrões do Ubuntu. Recomendo!!!

Netbook funciona com pilhas AA

A NorhTec anunciou um netbook que funciona com 8 pilhas do tipo AA e possui fonte de alimentação interna. O modelo inclui um SoC (system on chip) de 1GHz, até 1GB de RAM, display de 8.9" com resolução de 1024 x 600, SD card ou IDE HDD, e roda Linux ou XP.

Adobe compromete-se a liberar patches trimestralmente

Depois de ser criticada por institutos de segurança pelas vulnerabilidades apresentadas e a velocidade com que as mesmas são corrigidas, a Adobe comprometeu-se a liberar correções trimestrais e melhorar a segurança dos produtos da linha Acrobat. Segundo declaração do diretor de segurança e privacidade da Adobe, Brad Arkin, a empresa implementará o SPLC (Secure Product Lifecycle), trazendo modelagem de ameaças, revisão de código e ataques automatizados, tais como lógica fuzzy.

Falha no site da Fnac deixa vários produtos por R$ 9,90

De vez em quando isso acontece, agora foi com a Fnac. Falha desconhecida faz com que Notebooks, LCDs, Blu-ray players e desktops fossem vendidos a R$ 9,90. Pode não ter relação, mas a semana passada estava procurando o novo CD do Heaven and Hell e o site da Fnac estava fora do ar.

Dell vai continuar com Ubuntu 8.04 para novos netbooks

O novo netbook Mini 10v lançado a semana passada vai continuar sendo distribuído com o Ubuntu 8.04, ao invés das novas versões 8.10 e 9.04. De acordo com um email enviado pela Dell para o site betanews, nem sempre a última versão é a melhor opção para a maioria dos usuários. Outros pontos citados pela Dell foram o custo e a estabilidade.

Moblin 2.0 Beta

A Linux Foundation anunciou a versão beta do Moblin 2.0, uma distribuição baseada no Fedora focada para netbooks e outros dispositivos móveis. Esse vídeo mostra algumas características desse release do Moblin.

SANS - Ferramentas que funcionam

O SANS Institute faz um levantamento sobre ferramentas de segurança para internet que funcionam. A compilação desse levantamento vira um poster que vale a pena ser visto.

NEC lança primeiro host controller para USB 3.0

O padrão USB 3.0, também conhecido como SuperSpeed USB, logo estará disponível. A NEC lançou o primeiro host controller para esse padrão, que pode chegar a velocidade de 5 Gbps.

Distritos financeiros, um paraíso para wireless hacker's

De acordo com uma pesquisa da AirTight Networks, 57% dos wireless access points localizados em 7 centros financeiros utilizam WEP (Wired Equivalent Privacy). O padrão WEP de criptografia é fraco, e existem várias maneiras de quebrá-lo. A pesquisa foi conduzida em 6 cidades do EUA e em Londres.

SMS Snort

Um dos maiores problemas na implementação de um IDS é a falta de um reponsável para monitoração dos eventos. No caso do Snort, você pode usar esse script para coleta e envio de alertas por SMS.
Além do envio de alertas por SMS, o script também gera páginas WML para visualização dos detalhes pelo browser do próprio celular.

Descoberta de chave WEP

As redes sem fio que utilizam padrão IEEE 802.11 estão cada vez mais presentes nos ambientes profissional e doméstico. Elas trazem várias facilidades com a mobilidade aos usuários. Olhando por outro lado, elas também trazem novas preocupações relacionadas a segurança, já que o usuário não precisa estar conectado fisicamente.
O procedimento descrito mostra o procedimento para descoberta de chaves WEP em redes Wi-Fi.
Com esse procedimento podemos ver que a descoberta de chave WEP não é complicada, e as ferramentas existentes permitem a execução rápida e eficiente do processo. Portanto, se os dispositivos de sua rede wireless suportarem os protocolos WPA ou WPA2, altere sua configuração para utilização dos mesmos.

Debian + Snort + BASE

Postei um guia de instalação do Snort (IDS - Intrusion Detection System) no Debian 4 com interface BASE.
Bem interessante para quem está começando no mundo do Snort.